PayPal: Zwei-Faktor-Authentifizierung umgangen

Mit einer Zwei-Faktor-Authentifizierung lässt sich ein Benutzerkonto zusätzlich sichern. PayPal gehört zu den Anbietern, die diese Sicherheitsfunktion anbieten. Die Sicherheitsexperten von Duo Security haben eben diese Zwei-Faktor-Authentifizierung nun umgangen. Damit ist der zusätzliche Schutz der Konten wirkungslos.

(Bildquelle Diebstahl im Netz: David Evision via Shutterstock)

Die Zwei-Faktor-Authentifizierung von PayPal nennt sich „Sicherheitsschlüssel“. PayPal bietet seinen Nutzern zwei Varianten einer solchen Authentifizierung an, um für höhere Sicherheit der Benutzerkonten zu sorgen: Entweder lässt man sich bei jedem Login einen PIN per SMS zuschicken oder man erwirbt einen etwa kreditkartengroßen Hardware-Schlüssel von PayPal. Prinzipiell sorgt ein solches System für eine höhere Sicherheit. Schließlich kann selbst bei bekanntem Nutzernamen und Passwort kein Fremdzugriff auf das Konto erfolgen.

Für PayPal-Kunden besteht offenbar keine Gefahr mehr

Sicherheitsexperten von Duo Security konnten aber eben diese zusätzliche Authentifizierung umgehen. Damit konnten sie auf mit Zwei-Faktor-Authentifizierung gesicherte Nutzerkonten zugreifen und Transaktionen durchführen. Der Fehler liege nach Angaben der Experten in dem PayPal API Webdienst, der von den offiziellen mobilen Apps und anderen Händlern und Apps verwendet wird. Duo Security weist darauf hin, dass zum Zeitpunkt der Bekanntgabe der Sicherheitslücke PayPal informiert wurde, und das Unternehmen daraufhin die Lücke geschlossen habe und nun an einer dauerhaften Lösung des Problems arbeite. Für Konten besteht demnach keine Gefährdung mehr. Duo Security hat seine Ergebnisse dennoch öffentlich gemacht, um Nutzer über das Risiko und die Schritte der Lücken-Findung zu informieren.

Zwei-Faktor-Authentifizierung trotzdem wichtig

Das Sicherheitsunternehmen weist darauf hin, dass durch die gefundene Lücke die Zwei-Faktor-Authentifizierung „umgangen und im Grunde aufgehoben“ werden könne. PayPal habe aber bereits am 23. Juni eine Zwischenlösung für das Problem eingebaut, eine dauerhafte Lösung werde am 28. Juli erwartet. Obwohl Duo Security die Zwei-Faktor-Authentifizierung in diesem Fall umgehen konnte, betonen die Sicherheitsexperten, wie wichtig derartige zusätzliche Sicherheitsstufen sind:

„Während die Zwei-Faktor-Authentifizierung, richtig eingesetzt, einen großen Mehrheit für den Schutz von Nutzern und Unternehmen bietet, können Design- und Implementierungsfehler so wie diese Umgehung diesen Wert zunichte machen. Nutzer könnte ein falscher Eindruck von Sicherheit erhalten, unwissend, dass ein Sicherheitsfeature sein Versprechen nicht halten kann. Mit der großen Zahl von primären Anmeldeinformationen [z.B. Nutzername und Passwort], die kompromittiert und im Internet veröffentlicht werden, ist die Erhöhung der Account-Sicherheit mit einer gut-gebauten Zwei-Faktor-Authentifizierung von oberster Bedeutung.

Wir hoffen, dass PayPals geplante Lösung die Schwachstelle behebt und zu einer vollen Zwei-Faktor-Authentifizierung in seinen offiziellen mobilen Apps und Händler-Apps von Drittanbietern führen wird.“